Axios npm-package via gehackt maintainer-account voorzien van malware

In dit artikel:

Aanvallers hebben via het gehackte account van de primaire maintainer van Axios malafide builds gepubliceerd in de npm-registry, meldt securitybedrijf StepSecurity. Axios — een van de populairste HTTP-clients in het JavaScript-ecosysteem met meer dan honderd miljoen wekelijkse downloads — kreeg zo een kwaadaardige dependency ingeslopen die bij installatie een cross-platform remote access trojan (RAT) op Linux, macOS en Windows neerzet. De kwaadaardige releases zelf bevatten geen directe malware; in plaats daarvan installeert een dropper de RAT, verwijdert zich daarna en zet de package terug naar een schone versie om detectie te bemoeilijken. StepSecurity noemt de operatie een goed voorbereide, geraffineerde supply‑chain-aanval waarbij de aanvallers veel moeite deden hun sporen te verbergen. Hoe de maintaineraccount precies werd gecompromitteerd is onbekend. Zowel StepSecurity als securitybedrijf Socket hebben indicatoren en checklists gepubliceerd waarmee ontwikkelaars en organisaties kunnen nagaan of zij geïnfecteerd zijn en welke herstelstappen nodig zijn (bijv. controleren lockfiles, versiegeschiedenis, credenties en tokens, en upgraden naar veilige releases).